T1059.001

PowerShell

توضیحات

مهاجمان از PowerShell برای اجرای دستورات و اسکریپت‌های مخرب استفاده می‌کنند. PowerShell یک shell تعاملی و زبان اسکریپت‌نویسی قدرتمند ویندوز است که دسترسی گسترده‌ای به سیستم‌عامل فراهم می‌کند. مهاجمان می‌توانند از PowerShell برای دانلود payload، اجرای کد در حافظه، دور زدن آنتی‌ویروس و ایجاد پایداری استفاده کنند.

روش‌های شناسایی

فعال‌سازی PowerShell Script Block Logging و Module Logging. نظارت بر اجرای PowerShell با آرگومان‌های مشکوک. شناسایی استفاده از encoded commands و obfuscation. بررسی دانلود و اجرای کد از اینترنت.

روش‌های مقابله

فعال‌سازی PowerShell Constrained Language Mode. استفاده از AMSI برای اسکن اسکریپت‌ها. پیاده‌سازی Just Enough Administration (JEA). به‌روزرسانی PowerShell به نسخه‌های جدیدتر. محدود کردن اجرای اسکریپت با Execution Policy.

تکنیک اصلی

T1059Command and Scripting Interpreter

مفسر دستور و اسکریپت

مهاجمان از مفسرهای دستور و اسکریپت برای اجرای دستورات، اسکریپت‌ها یا باینری‌ها سوءاستفاده می‌کنند. این رابط‌ها و زبان‌ها در اکثر سیستم‌ها به صورت پیش‌فرض وجود دارند. مهاجمان می‌توانند از این ابزارها برای اجرای کد مخرب، دور زدن کنترل‌های امنیتی و ایجاد پایداری استفاده کنند.

سایر زیرتکنیک‌ها (9)

T1059.002 · AppleScript T1059.003 · پوسته فرمان ویندوز T1059.004 · پوسته یونیکس T1059.005 · ویژوال بیسیک T1059.006 · پایتون T1059.007 · جاوااسکریپت T1059.008 · رابط خط فرمان دستگاه شبکه T1059.009 · API ابری T1059.010 · AutoHotKey و AutoIT